數碼港資料外洩案 議員斥管理失當
【本報訊】數碼港電腦系統去年8月遭黑客入侵,有1.3萬人的個人資料包括姓名、身份證副本及聯絡資訊被盜,部分人的銀行帳號、醫療報告、薪資等亦遭外洩。私隱專員公署早前指事件因數碼港缺失導致,裁定數碼港違反私隱條例規定。立法會資訊科技及廣播事務委員會主席葛珮帆批評事件屬低級錯誤,有電腦安全研究員質疑數碼港保安措施未做足。
低級保安錯誤 輕視處理
葛珮帆昨於一個電台節目表示,數碼港資訊保安系統未有採用多重認證,黑客很客易便打通所有通道,質疑屬相當低級的保安錯誤,批評數碼港輕視處理個人資料,有管理失當之嫌。葛強調,黑客可利用被盜者的身份資料、銀行帳戶做很多違法行為,數碼港只提供一年的暗網身份監察並不足夠,建議數碼港延長暗網監察,並考慮為受害人提供心理輔導。
本港接連有機構發生網絡安全事故,葛認為公私營機構都應該增強網絡安全意識,又建議有關部門及機構採納網絡防護紅隊演練(Red Team Exercise),即攻擊演練,找一些道德黑客協助測試網絡漏洞,驗證防守方的偵測與應變能力,以彌補傳統滲透測試不足,又促請當局盡快檢視《私隱條例》,加強罰則,並訂立網絡安全法。
同場的電腦安全研究員賴灼東亦指,多重認證在10年前已十分成熟,惟數碼港卻未有使用。直指數碼港對受害人提出的補救措施只屬應分,作為具標誌性的機構應顧及香港形象,向受害人作出賠償。他又提到,規模較小的公司亦會每半年至一年做一次資訊系統保安審計,惟數碼港每兩年才做一次,按其公司規模可謂相當不足。賴又建議數碼港立即修復系統保安問題,因為黑客或利用原有漏洞,日後再作攻擊。
人人做記者
爆料方法 :
爆料熱線:
(852) 3600 3600
傳 真:
(852) 3600 8800
SMS:
(852) 6500 6500